Mit der Easyride-Funktion in der SBB-App ist das Reisen mit Bahn, Bus und Tram ganz einfach: Statt ein klassisches Billett zu lösen, starten die Nutzerinnen und Nutzer ihre Fahrt mit einem Wisch auf dem Smartphone. Am Ende der Fahrt wischen sie wieder zurück und checken damit aus. Als Fahrausweis dient ihnen ein QR-Code, der auf dem Smartphone angezeigt wird. Er bestätigt einem Billettkontrolleur, dass die Easyride-Funktion aktiviert ist. Während der Fahrt sendet die App laufend Standortdaten an einen SBB-Server. Der Server berechnet daraus die zurückgelegte Strecke, und die SBB stellt dem Nutzer anschliessend die Fahrtkosten in Rechnung.
Easyride ist seit 2018 in der ganzen Schweiz im Einsatz. Im vergangenen Jahr gelang es ETH-Forscher jedoch, das System auszutricksen. Die Easyride-Funktion verlässt sich auf die Standortdaten des Smartphones. Nutzerinnen und Nutzer mit Fachwissen können diese Daten aber manipulieren. Laut den SBB würde ein solcher Betrug heute erkannt.
Betrug fiel Kontrolleur nicht auf
Vor einem Jahr war das noch anders: Forschende und Studierende aus der Gruppe von Kaveh Razavi, Professor für Computersicherheit an der ETH Zürich, vermuteten damals, dass sich die Easyride-Funktion überlisten lässt, und stellten sie auf die Probe. Sie veränderten Smartphones so, dass deren GPS-Standortdaten – auf die die SBB-App zugreift – mit gefälschten, aber realistisch wirkenden Standortinformationen überschrieben wurden. Diese Daten täuschten vor, der Nutzer bewege sich ausschliesslich auf engem Raum in einer Stadt, ohne ein öffentliches Verkehrsmittel zu benutzen.
Die Forscher verwendeten zwei Ansätze: In einem Fall erzeugte ein Programm die gefälschten Standortdaten direkt auf dem Smartphone. Im anderen Fall war das Smartphone mit einem Server verbunden, auf dem die SBB-App lief. Dieser Server generierte die gefälschten Standortdaten und übermittelte den Easyride-QR-Code an das Smartphone.
Die ETH-Forscher testeten das von ihnen präparierte Smartphone auf mehreren Zugfahrten von Zürich in die Hauptstadt eines Nachbarkantons. Weder bei den Billettkontrollen im Zug fiel der Betrug auf, noch wurden die tricksenden Nutzer im Nachhinein von den SBB kontaktiert. Stattdessen berechneten die SBB die Kosten der vorgetäuschten kleinräumigen Bewegungen, für die kein öffentliches Verkehrsmittel benutzt wurde. Das heisst, die Forschenden konnten mit Easyride kostenlos reisen. Sie betonen, dass sie bei allen Tests immer zusätzlich ein gültiges Billett dabei hatten. Dem Billettkontrolleur zeigten sie jedoch den Easyride-QR-Code.
Zwar braucht es Fachwissen, um das eigene Smartphone zu manipulieren. Das sei aber Wissen, über das Informatik-Studentinnen und -Studenten bereits ab Bachelorstufe verfügten, sagt Razavi. Mit entsprechender krimineller Energie wäre es sogar möglich, ein Smartphone-Programm und einen Onlinedienst anzubieten, um auch Betrugswillige ohne Informatikkenntnisse mit gefälschten, aber plausibel erscheinenden Standortdaten zu versorgen.
Standortdaten sind manipulierbar
«Es ist ganz grundsätzlich so: Die Standortdaten eines Smartphones sind manipulierbar, und man kann ihnen nicht trauen», sagt Michele Marazzi, Doktorand in Razavis Gruppe. «App-Entwickler sollten sie daher nicht als vertrauenswürdige Daten behandeln. Darauf wollten wir mit unserer Arbeit aufmerksam machen.» Wenn die Standortdaten wie in der SBB-App verwendet werden, um eine Leistung zu berechnen und zu fakturieren, müsse das besser berücksichtigt werden.
Zur Lösung des Problems schlagen die Forscher zwei Ansätze vor: Entweder müssen die Standortdaten mit vertrauenswürdigen Standortmeldungen verifiziert werden, oder die Smartphone-Ortung muss grundlegend verändert werden, damit eine Manipulation sehr viel schwieriger wird. Beim ersten Ansatz wäre es zum Beispiel möglich, die vom Smartphone eines Nutzers übermittelten Informationen mit Standortdaten zu vergleichen, denen ein Transportunternehmen traut, zum Beispiel mit denen des Fahrzeugs oder des Mobilgeräts eines Kontrolleurs.
Der zweite Ansatz ist schwieriger. Dazu müsste man die Entwickler von Smartphone-Hardware und -Betriebssystemen an einen Tisch bringen, und sie davon überzeugen, eine neuartige manipulationssichere Ortungstechnologie zu entwickeln. «Bis es so weit ist, bleibt allen, die sich auf die Standortinformationen von Smartphones verlassen müssen, nichts anderes übrig, als diese sie so gut wie möglich mit einer vertrauenswürdigen Standortdatenquelle zu verifizieren», sagt ETH-Professor Razavi.
SBB bringt Manipulationen zur Anzeige
Die ETH-Forscher informierten die SBB über die Schwachstelle in der Easyride-Funktion und standen während des letzten Jahres mit deren Fachleuten in Kontakt. Dabei präsentierten sie ihnen auch die Lösungen, mit denen die Sicherheit der Funktion erhöht werden kann.
Die SBB legen Wert auf die Feststellung, dass es strafbar ist, die Easyride-Funktion mit manipulierten Standortdaten zu benutzen. Nach eigenen Angaben haben die SBB nach den Hinweisen des ETH-Forscherteams die Überprüfung der an den Server übermittelten Standortdaten verbessert. Manipulationen werden heute laut den SBB im Nachhinein erkannt und zur Anzeige gebracht. Wie die Überprüfung genau erfolgt, geben die SBB aus Sicherheitsgründen nicht bekannt.